OPNsense Forum
International Forums => German - Deutsch => Topic started by: no_Legend on January 25, 2017, 11:32:24 am
-
Hallo Leute,
wie Ihr seht bin ich hier komplett neu im Forum, deshalb erst mal ein Hallo.
Seit ca. 3 Jahren benutzte ich IPfire auf einem APU1 2GB Board.
Da ich gerne nun ein paar Funktionen Mehr möchte und bei IPFire auch nicht wirklich viel in sachen IPv6 geht, will ich nun umsteigen.
Was ich benötige:
- DHCP
- DNS (Adressen nach intern Umleiten)
- OpenVPN 8 User, wenig Traffic
- IPSec für ca. 5 User, wenig Traffic
- Captive Portal (nicht zwingend, kann auch direkt von meinem Unifi CloudKey erledigt werden)
- LoadBalancing (Nicht zwingend, da zweite Leitung noch nicht geplant ist oder bestellt ist)
Proxy oder IDS/IPS habe ich mir noch keine Gedanken gemacht.
Als Internetprovider hab ich UMKBW mit 150MBit down / 5mbit up
Meine Fragen:
Reicht mit die APU1C mit 2Gb für meine Anwendung?
Bin am überlegen ob ich mir nicht doch eine APU2C4 anschaffe, würde diese dann reichen?
Kann OPNSense mit der AES-NI Engine des neue APU2C4 arbeiten?
Hat jemand schon erfahrung mit der APU2C4 und OPNSense?
Habt Ihr andere Hardware-Empfehlungen?
Danke und Gruß Robert
-
Hi Robert,
ich denke das was ich dir zu pfSense geschrieben habe, lässt sich 1:1 auch auf opnSense anwenden ;) Dazu hast du in deinen Anforderungen zu wenig wirkliche Showstopper, die auf einem System besser laufen würden :) Die Punkte die du listest, inkl. der DNS Geschichte, sollten hier relativ gleich umsetzbar sein wie auf pfSense ebenfalls. Der Rest ist deine Entscheidung.
Grüße
-
@JeGr
Das ist ja lustig dich hier auch zu finden.
Weshalb ich hier noch mal geschrieben habe, ist dass ich mir nich klar bin was für Vorteile PFsense oder OPNSense für mich haben.
Also welche davon die bessere für mich ist?
Gruß Robert
-
Ich versuche mich lediglich als neutraler Beobachter, auch wenn unser Fokus im Betrieb (Firma) bisher eher auf pfSense liegt. Nichts desto trotz: wie bei vielem bringt Konkurrenz auch mehr Fortschritt bei allen ;)
Wie gesagt, für das "wenige", was du als Anforderung hast, würde ich im Speziellen keinen Grund finden, das eine oder andere System zu nutzen. Beide decken ab was du brauchst und möchtest. Was du schlußendlich nutzt bleibt dir überlassen.
Grüße
-
@JeGr
Das ist ja lustig dich hier auch zu finden.
Ja, der Name kam mir hier auch gleich bekannt vor ;D
Finde ich gut, da die Beiträge von JeGr gern gelesen hab!
Weshalb ich hier noch mal geschrieben habe, ist dass ich mir nich klar bin was für Vorteile PFsense oder OPNSense für mich haben.
Ich bin von pfsense über ipfire zu OPNSense gekommen.
Komischerweise lief mit OPNSense Alles, was zuvor unter pfsense (Kernel-Panik mit WLAN-Stick) und ipfire (Probleme mit Sperrlisten im Webproxy) Probleme verursacht hat, sofort funktioniert. ???
M.E. liegt der Vorteil von pfsense/OPNSense gegenüber ipfire in der besseren bzw. sichereren Codebasis (Linux vs. FreeBSD). Irgendwie geht auch die Entwicklung bei ipfire nicht so recht voran (z.B. vLAN). Der Vorteil ist natürlich auch gleichzeitig der Nachteil. FreeBSD ist treibermäßig deutlich schlechter aufgestellt als Linux! :-[
Tja und bei pfsense wird mit der 2.4 der Support für 32Bit und Nano-Images eingestellt. Ich denke, dass zukünftig noch diverse Leute von pfsense zu OPNSense wechseln (z.B. User der ALIX-Platform).
Gruß
Dirk
-
Finde ich gut, da die Beiträge von JeGr gern gelesen hab!
Danke Dirk :) Das wiederum finde ich schön zu lesen. Wie gesagt haben wir (als Firma) zwar mehr mit der anderen Sense zu tun, was aber niemanden daran hindert über den Zaun zu schauen und auch beim Nachbarn mal zu helfen. Alle anderen Spielchen sind "not my paygrade" wie es so schön heißt und da halte ich mich privat einfach raus und möchte die weder hier noch dort propagiert haben :)
Was die 32Bit / Nano-Images angeht bin ich noch zwiegespalten, denn ich hätte auch nichts dagegen die sterben zu lassen gegen eine schönere Update Variante. Leider wird ZFS aber auf CF/SD wohl eher gruselig bleiben. Daher kann ich das schon nachvollziehen, wenn Heim- oder embedded User da dann sich ggf. opnSense zuwenden sollten. Allerdings gibts auch genug Plattformen, die bereits 64bit können und eine ALIX damals kostete auch nicht weniger / viel mehr als eine APU2 heute ;) Aufrüsten wäre da eigentlich sinnvoller als die Distro zu wechseln (rein zukunftsorientiert gedacht, nicht in Bezug auf welche *Sense). Gerade weil ich häufig höre, dass solche Systeme teils als AP oder VPN Client irgendwo eingesetzt werden, wäre neue HW mit AES da meist eh sinnvoll :)
Grüße
Jens
-
Was die 32Bit / Nano-Images angeht bin ich noch zwiegespalten, denn ich hätte auch nichts dagegen die sterben zu lassen gegen eine schönere Update Variante. Leider wird ZFS aber auf CF/SD wohl eher gruselig bleiben. Daher kann ich das schon nachvollziehen, wenn Heim- oder embedded User da dann sich ggf. opnSense zuwenden sollten. Allerdings gibts auch genug Plattformen, die bereits 64bit können und eine ALIX damals kostete auch nicht weniger / viel mehr als eine APU2 heute ;) Aufrüsten wäre da eigentlich sinnvoller als die Distro zu wechseln (rein zukunftsorientiert gedacht, nicht in Bezug auf welche *Sense). Gerade weil ich häufig höre, dass solche Systeme teils als AP oder VPN Client irgendwo eingesetzt werden, wäre neue HW mit AES da meist eh sinnvoll :)
Ich weiß, wir haben 2017 und da sind 64Bit und SSD schon Standard! ;)
In der Firma haben setzen wir auch 19" Serverhardware ein. Nur gerade im Heimbereich zählt für mich auch die Nachhaltigkeit (z.B. Preis und Größe der Appliance, Energieverbrauch, usw.).
Meine Terra Black Dwarf (LEX 3V700) hat mich ganze 35€ gekostet und selbst damit schaffe ich locker einen 50 Mbit-Anschluss (Firewall/Proxy). Dank der VIA Eden PadLock-Engine ist auch SSL-VPN kein Problem. Und das bei ~ 10 Watt Energieverbrauch.
Warum sollte ich nun ~ 200€ für eine aktuelle APU ausgeben, so lange der Black Dwarf vollkommen ausreicht?
Und in vielen Anwendungsbereichen tut es auch ein ALIX. Gerade, wenn man einige davon einsetzt (z.B. Standortvernetzung) tut es schon weh, wenn man die alle austauschen müsste nur weil es keine Updates mehr geben sollte.
-
Sicher, nicht falsch verstehen. Aber gerade wenn ich die im größeren Stil einsetze - Nachhaltigkeit ist genau das Stichwort - muss ich auch sehen, dass weder ALIX noch APU noch supported sind. Beides EOL Plattformen ohne Ersatzteile. Allein damit argumentieren unsere Industriekunden schon, dass sie die Dinger loswerden wollen. Da brauche ich mit x64 gar nicht anfangen ;) Deshalb Software weiter für eine sterbende Randgruppe bauen, da kann ich das schon nachvollziehen. Und das Nano Image war jetzt auch nicht ganz so der Geniestreich. Er funktioniert ganz gut, aber eine Vollinstallation auf mSATA bspw. ist auch bei einer APU und APU2 immer noch angenehmer und wesentlich vernünftiger zu handhaben.
Aber klar, den Einsatzbereich wirds immer geben. War schon damals so mit pfSense und m0n0. Da gab es auch genug m0n0 Nutzer die einfach kleinere Kisten hatten und das genügt hat. :)
-
Moinsen,
ich bin relativ neu wenn es darum geht eine Firewall zu betreiben und hab mich daher umgesehen was es denn da so gab. Installiert hab ich neben pfSense, IPfire dann eben auch OPNsense.
Das bedeutet eben auch, ich hab alle 3 'from the Scratch' kennen lernen müssen. Wenn ich also eine Hitliste erstellen müsste dann würde die wie folgt aussehen:
OPNsense
IPfire
pfSense
Warum sieht die Liste so aus?
Erstens die Dokumentation von OPNsense und IPfire sind logisch aufgebaut, mit Beispielen versehen und einfach adaptierbar wenn nich sogar 1:1 für sich selbst einzusetzen (ich rede davon wie das ist, wenn man das erste mal Hand an die jeweilige Software legt, nicht ob die Firewall in der Lage ist jedem Bit hinter her zu schnüffeln etc.)
Das bedeutet ich kann mir in kurzer Zeit ein rudimentäres Setup aufsetzen, das frustfrei Funktioniert und es später Feintunen, wenn ich denn will.
Zweitens: Eines der besten Features die ich in pfSense gesehen hab, war der OpenVPN Profil Export, den ich auch in OPNsense habe
Drittens: Der Transparent Proxy, dessen Setup und dessen einfachen Konfiguration in OPNsense und IPfire
Viertens: Die Zotac Nano Intel WLAN Karte funktioniert (leider) nur bei IPfire
pfSense hat es mir extrem schwer gemacht mich dort ein zu arbeiten denn auch nach knapp 4 Tagen konnte ich, aus welchen Gründen auch immer, den Proxy nicht so konfigurieren wie ich das gerne gehabt hätte.
IPfire hatte ich dagegen ruckzuck am rennen, mit Proxy und VPNserver, aber alles etwas Altbacken (UI) und mir hat das Handling mit den VPN Clients nich so gut gefallen (war ja klar nach dem pfSense das alles in eine Datei fummelt und dann easy von A nach B kopieren).
OPNsense hat mir quasi all die guten Sachen von ipFire und pfSense geliefert, auch wenn die Installation deutlich schwieriger war als bei pfSense und IPfire. OPNsense und pfSense haben die WLAN Karte nicht erkannt was OK ist, ich wusste das es damit unter Umständen Probleme gab, bevor ich die Hardware angeschafft habe. Trotzdem ein kleines Plus für ipFire die es dann doch letzten Endes tat.
Aber danach, war es mehr oder weniger a Piece of Cake (unter OPNsense) für mich und ich bin kein Firewall Admin.
Was mich gerad ein wenig ärgert ist: Ich hab mir die Zotac Nano CI323 gekauft und bin zufrieden, aber verdammt ich wünschte ich hätte etwas eher von der BlackDwarf gehört, die scheint extrem interessant für den Heimgebrauch zu sein.
gruss,
Astronach
-
Was mich gerad ein wenig ärgert ist: Ich hab mir die Zotac Nano CI323 gekauft und bin zufrieden, aber verdammt ich wünschte ich hätte etwas eher von der BlackDwarf gehört, die scheint extrem interessant für den Heimgebrauch zu sein.
Ja,
eignet sich sehr gut für Zuhause oder auch eine kleine Firma.
Aber unbedingt auf die aktuelle Version achten (VIA Nano 64-Bit CPU mit 1GHz und 3 x Gbit LAN). Dort lassen sich dann auch mPCI WLAN-Karten integrieren.
Ist ein Barebone von LEX (3V900). Die Zwerge werden immer mal wieder bei eBay für kleines Geld angeboten. Ich habe noch eines als Backup zu Hause stehen. Hab ich ohne RAM und HDD für 25€ gekauft. Mit 4GB RAM, 32 GB SSD und Atheros WiFi war ich für unter 100€ fertig.
Trotzdem nutze ich z.Zt. die alte Version (LEX 3V700). Der alte Zwerg ist einfach nochmal eine ganze Ecke kleiner als das aktuelle Modell. Ich hab einfach keinen Platz! :-X
-
Ich hab mir die Zotac Nano CI323 gekauft und bin zufrieden, aber verdammt ich wünschte ich hätte etwas eher von der BlackDwarf gehört, die scheint extrem interessant für den Heimgebrauch zu sein.
überlege auch die ci323 zu kaufen
Was ist den an der BlackDwarf so interessant?
Ich denke bei der BlackDwarf ist ein extrem großer Kostenpunkt leider die Subscription.
-
Was ist den an der BlackDwarf so interessant?
Ich denke bei der BlackDwarf ist ein extrem großer Kostenpunkt leider die Subscription.
Grundsätzlich ist die Terra Black Dwarf zunächst mal eine Firewall-Hardware! Es handelt sich dabei um ein Barebone der Firma Lex:
- Lex 3V700 ist die alte Version (nicht mehr zu empfehlen)
- Lex 3V900 ist die aktuelle Version
Neu kaufen kann man die Geräte als Black Dwarf nur mit der Securepoint Firewall-Software drauf.
Aber, gebraucht werden die Teile extrem günstig gehandelt. War gerade wieder ein Black Dwarf WiFi bei ebay-Kleinanzeigen für 50€ drin!
Meine Dwarfs habe ich für 35€ (3V700 mit 1 GB RAM und 1 GB-Flash) und 25€ (3V900 ohne RAM und HDD) gekauft. Meine 3V900 hat mich schlussendlich mit 4 GB RAM, 32GB SSD und Atheros Wifi-Karte ~ 80€ gekostet.
Für das gleiche Geld bekommst Du einfach keine vergleichbare Firewall-Hardware!
Klar, eine APU2 ist in jeder Hinsicht leistungsfähiger. Kostet aber eben auch mal ~ 200€ (SSD+Wifi). Gebraucht sind die APU-Boards bisher kaum zu haben. Dazu haben die APU2 keinen VGA-Ausgang.
Daher ist die Terra Black Dwarf m.E. ein echter Geheimtip für das Heimnetz.
-
Klar, eine APU2 ist in jeder Hinsicht leistungsfähiger. Kostet aber eben auch mal ~ 200€ (SSD+Wifi). Gebraucht sind die APU-Boards bisher kaum zu haben. Dazu haben die APU2 keinen VGA-Ausgang.
Daher ist die Terra Black Dwarf m.E. ein echter Geheimtip für das Heimnetz.
Wozu sollte eine Firwall einen VGA-Ausgang haben? Für die Konsole verwende ich RS232 bzw. SSH und OPNsense lässt sich ansonsten eh übers Web verwalten.
-
Klar, eine APU2 ist in jeder Hinsicht leistungsfähiger. Kostet aber eben auch mal ~ 200€ (SSD+Wifi). Gebraucht sind die APU-Boards bisher kaum zu haben. Dazu haben die APU2 keinen VGA-Ausgang.
Richtig, ~200€ kommt schon hin. ABER - und das lese ich ständig - meistens sollen die *Sensen ja vorhandene Geräte ablösen oder statt bspw. eine Fritzbox ins Netz kommen. Jetzt schauen wir mal realistisch, was eine FB kostet -> da sind wir bei den großen auch schnell bei 170-210€. Und in dem Preissegment bewegt sich auch die APU2. Völlig OK in meinen Augen. Zudem hält die meistens länger als ne FB, kann mehr (und das ggf. auch richtig) und man ist flexibler.
Natürlich ist günstiger nie verkehrt, aber deshalb finde ich das an manchen Stellen etwas aufkeimende "Jammern" über 200€ schon weit hergeholt. Und wenn ich mir dann den Vergleich erlauben darf (wieder: nichts gegen die günstigeren Boards oder Kisten) aber ordentliche Hardware kostet eben ein wenig mehr, kann dann aber auch was. Wenn ich nen 2€ Schloß mit nem ordentlichen Klopper für 20€ vergleiche, weiß ich auch warum das mehr kostet ;) (OK der war schlecht, aber ein wenig passt es schon :D)
@fabian:
Wozu sollte eine Firwall einen VGA-Ausgang haben
Weil es durchaus Leute gibt, die an eine FirEwall auch Monitor und Tastatur zu Diagnosezwecken anschließen möchten.
Weil nicht jede Hardware bspw. eine Remote Console hat (IPMI o.ä.) um auf die Console zu schauen, wenn es Probleme beim Booten gibt.
Weil es genügend Leute gibt, die solche Kisten vor Ort bei Kunden installieren und dort dann mitunter keinen Zugriff auf serielle Consolen haben (oder zumindest nicht dauerhaft).
Weil mancher bspw. ein Livelog auf der Console mitlaufen haben möchte, ohne dass man sich remote in das Gerät einloggt.
Die Gründe sind legitim und vielfältig. Und gerade wenn man z.B. auch mal was in einem Rack verbauen will, hat man auch oft sowas wie einen KVM Switch o.ä., an die man solche Geräte logischerweise gern anschließen würde. Das ist u.a. mit ein Grund, warum trotz fehlender Möglichkeit für ein Rackmount, die NCA-1010 von Lanner gern bestellt wird -> sie hat auf Wunsch HDMI Output oder eben die übliche serielle Konsole. Je nach Einsatzzweck ist das eben Gold wert :)
-
@JeGr
Na ja, das Preisargument bei den FritzBoxen zieht nicht so recht. Viele werden so ein Teil ja für ein paar Euros von Ihrem Leitungsanbieter bekommen haben. Meine Eltern haben inzwischen sogar 2 Fritten zu Hause rumstehen.
Ich finde die APU2-Serie echt genial und das wäre auch meine Wahl gewesen, wenn ich jetzt nicht beruflich schon mal mit den Terra Black Dwarf zu tun gehabt hätte und daher diese Plattform kannte.
Fakt ist nun einmal, dass die Black Dwarfs recht zahlreich auf den diversen Verkaufsplattformen für teilweise schmales Geld angeboten werden. Mit 3 LAN-Ports und 2 x mPCI und lüfterlos erfüllen Sie m.E. auch ideal alle Anforderungen, die viele Anwender so an eine typische Home-Firewall stellen.
Es braucht halt nicht jeder die Leistung einer APU2/Zotac/Lanner/usw. zu Hause. ;)
-
@monster:
Doch ich finde das Argument zieht ganz gut. Die meisten bekommen heute nämlich keine Fritzbox mehr, es sei denn von Drittanbietern. Aber die Anbieter selbst haben meist ihre eigenen Gurken am Start, vor allem nachdem nun Routerfreiheit angesagt ist. Easybox oder sonstige Krankheiten sind da an der Tagesordnung. Und da ist der Vergleich mit der überall auftauchenden Fritte schon ganz OK. Zudem ist das "für ein paar Euros" ja nun auch Augenwischerei, die wird entweder Querfinanziert oder der Preis wird angerechnet. So oder so, wird man dafür seine 200 Tacken los, ob das gut verpackt ist, ist ein anderes Thema ;)
Das Leistungs-Argument zieht dafür für mich nicht. Die APU2 hat m.E. keine übermäßige Leistung, vor allem wenn man sich ein wenig mehr mit Paketen wie pfBlocker und Proxy oder IDS beschäftigt. Dann ist das Leistung die ich brauche, nicht übermäßige. Und das dann ggf. auch für "nur" 16-25MBit/s. Ab 50-100 wirds dann eh schon sportlich. Leider hab ich auf die Schnelle nichts gefunden, was im Black Dwarf eigentlich verbaut ist, hätte mich jetzt interessiert, was man für den Preis bekommt. Ich glaube das war ein Via Nano? Da mag ich vielleicht auch (zu?) hohe Ansprüche haben, aber ich hab 2004 schon mit Via Eden und Nachfolgern rumgehampelt und fand sie im Alltag immer einfach zu träge und langsam. Vor allem wenn mal wirklich Last aufs Netz kam. Mag dem Nano jetzt unrecht tun, aber der T40E und auch der GX-412TC (APU/APU2) sind keine Speed-Weltwunder. Klar ist das vielleicht für DSL ausreichend, wenn ich aber innen noch 1-3 Beinchen Gigabit habe (und etwas mehr dem Gerät abverlange an Paketen), dann kommt mir das gefühlt zu lahm vor.
Aber ist nur meine Meinung und ich sehe 150-200€ für eine "Home-Firewall" durchaus als soliden Wert an, gemessen an dem was man für den Preis sonst so bekommt. :)